Обзор существующих решений построения корпоративных сетей
Авторизация и идентификация по MAC-адресу (Media Access Control, иначе называемый Hardware Address) сетевого адаптера. Возможно в сочетании с протоколом динамической конфигурации узла (DHCP) и использование на коммутаторах и иных устройствах уровня доступа таких мер как DHCP-snooping и инспекция ARP-запросов. Позволяет ограничить доступ к сети и корпоративным ресурсами определенному списку… Читать ещё >
Обзор существующих решений построения корпоративных сетей (реферат, курсовая, диплом, контрольная)
Вводная
Прежде чем приступать к проектированию структуры будущей сети передачи данных.
Для этого требуется выбрать такие технологии, которые будут использоваться.
Технологии, используемые при построении защищенных корпоративных сетей
Определившись с ключевыми для проекта характеристиками, по которым будет происходить выбор стандарта, можно выбрать подходящую технологию для физического, канального и сетевого уровня модели взаимодействия открытых систем (МВОС, ISO OSI).
Не смотря на некоторую условность данной модели в современном мире и неоднозначность трансляции данной модели на наиболее распространенный стек протоколов — TCP/IP, данный подход позволит определится с набором стандартов для реализации проекта, и, в дальнейшем, с используемым оборудованием.
Обзор решений организации связи между структурными подразделениями
Для обеспечения безопасности данных передаваемых по корпоративной проводной сети, использующей кабельную систему, потребует соблюдение пункта 7.2.3 ГОСТ 17 799 при прокладке, а так же требуется соблюдение мер безопасности указанных в пункте 7.1 «Охраняемые зоны».
Этого достаточно, чтобы предотвратить доступ неавторизованных пользователей к среде передачи данных.
Для дополнительной защиты, возможно использование механизмов туннелирования и шифрования трафика, проходящего через сеть, например протоколы IPSec, PPTP.
В сетях построенных на базе стандарта IEEE 802.3 возможно так же реализовать авторизацию, защиту и идентификацию трафика пользователей следующими способами:
- — Авторизация и идентификация по MAC-адресу (Media Access Control, иначе называемый Hardware Address) сетевого адаптера. Возможно в сочетании с протоколом динамической конфигурации узла (DHCP) и использование на коммутаторах и иных устройствах уровня доступа таких мер как DHCP-snooping и инспекция ARP-запросов. Позволяет ограничить доступ к сети и корпоративным ресурсами определенному списку MAC-адресов. Недостатки данного подхода очевидны — возросшая административная нагрузка — необходимость ведения списка MAC-адресов, которым разрешен доступ, сниженное удобство конечных пользователей, простота подмены MAC-адреса для злоумышленника, что позволит обойти данную меры защиты, не оставив следов;
- — IEEE 802.1x — стандарт определяющий протокол аутентификации и контроля доступа, ограничивая права неавторизованных компьютеров подключенных к коммутатору. В общем случае, до аутентификации подключенного сетевого устройства, разрешено прохождение только EAPOL-трафика на порту коммутатора. EAPOL (extensible authentication protocol over LAN) используется для трансляции кадров между клиентом и сервером аутентификации, обычно это RADIUS-сервер. После аутентификации пользователя — получения коммутатором подтверждения от RADIUS-сервера и дополнительных атрибутов, описывающих доступные клиенту сервисы, правила фильтрации трафика, сетевое устройство получает доступ в сеть. Недостатки данного подхода — в необходимости поддержания развернутой инфраструктуры, включающей RADIUS-сервера, каналы к ним, поддержание актуальной базы пользователей, необходимость поддержки 802.1x со стороны конечных устройств и операционных систем, необходимы коммутаторы с поддержкой 802.1x. Преимущества — гибкость данного решения, минимизация ручной конфигурации коммутаторов при подключении пользователей — большую часть необходимых настроек порта коммутатора можно передавать c RADIUS-сервереа в виде атрибутов. Так же, при использовании связки 802.1x, DHCP и сборки Netflow с сетевых устройств, появляется возможность надежной идентификации трафика и привязки его к конкретным пользователям сети;
- — Туннелирование трафика, с помощью технологий VPN. Необходима соответствующая инфраструктура для такого трафика, аутентификации пользователей при подключении. Недостатки — дополнительная точка отказа, требующая резервирования (VPN-сервер и сервера авторизации пользователей), пропускная способность такой сети ограничивается возможностями VPN-сервера, сниженное удобство пользователей конечных пользователей, возможны проблемы с некоторыми сетевыми приложениями при таком подключении.
Исходя из достоинств и недостатков описанных вариантов, для решения задачи идентификации трафика пользователей и ограничения доступа к корпоративной сети неавторизованным пользователям, больше всего подходит решение на основе 802.1x, которое хоть и требует значительной инфраструктуры и конфигурации на начальном этапе, в дальнейшем, помимо решения основных задач, так же позволит централизованное управление настройкой портов коммутаторов за счет передаваемых с RADIUS-сервера атрибутов.